两只rootkit

www-tekeze

MagicFuzzX 发表于 2018-12-13 23:25
https://support.kaspersky.com/viruses/utility

TDSSKiller 卡巴5mb不到

已下载，感谢！ 明天抽空试试。。

落华无痕

www-tekeze 发表于 2018-12-13 23:12
火绒专杀只有910K，360急救箱快60M，卡巴好像快200M？  火绒专杀清理掉黑驱动的注册表信息，别在Win系统 ...

明天试。备份system32\config下的注册表就行了。系统文件出问题很容易找到文件恢复，注册表出问题才难搞。
话说我用卡巴斯基，没重启就干掉了两病毒，病毒运行后重启过。

www-tekeze

落华无痕 发表于 2018-12-13 23:50
明天试。备份system32\config下的注册表就行了。系统文件出问题很容易找到文件恢复，注册表出问题才难搞 ...

一旦加载成功就比较厉害了，如果重启就更厉害。。。

www-tekeze

MagicFuzzX 发表于 2018-12-13 23:25
https://support.kaspersky.com/viruses/utility

TDSSKiller 卡巴5mb不到

这个Rootkit不行啊，解压后都查不出，加载后就更不用说了。。。我之前指的是卡巴的PE急救盘。

kaba666

www-tekeze 发表于 2018-12-14 00:19
这个Rootkit不行啊，解压后都查不出，加载后就更不用说了。。。我之前指的是卡巴的PE急救盘。

那你用kvrt试试呢?

落华无痕

www-tekeze 发表于 2018-12-14 00:19
这个Rootkit不行啊，解压后都查不出，加载后就更不用说了。。。我之前指的是卡巴的PE急救盘。

没运行怎么查杀？运行后重启，tdsskiller检测出两个，重启干掉。


金山专杀5.06M，扫描检测出一个，重启干掉一个，再扫描，又检测出一个，直接干掉剩下的那个。




试了下那个改主页驱动，金山专杀和tdsskiller都发现不了。

wowocock

落华无痕 发表于 2018-12-14 09:37
没运行怎么查杀？运行后重启，tdsskiller检测出两个，重启干掉。

是的，真正考验实力的是锁主页的那个驱动，他里面的技术是目前为止比较成功的技术。其他那些ROOTKIT说实话，都是小儿科。一个用普通ARK工具都能搞定的ROOTKIT不能算优秀的ROOTKIT,但能在大部分杀软下存活，也算合格。所以说这2个只能算是勉强合格而已。

kaba666

www-tekeze 发表于 2018-12-14 00:19
这个Rootkit不行啊，解压后都查不出，加载后就更不用说了。。。我之前指的是卡巴的PE急救盘。

哎！不知道你们怎么在测，今天再次测试，病毒运行成功后，重启电脑！用卡巴扫描那两个驱动，检测不到威胁！我立马用卡巴tdsskiller.exe扫描！成功完成清除工作，要求重启两次电脑后，全部完成！再次检测，没有然任何问题了！那两个驱动也不见了，大功告成！OK

kaba666

落华无痕 发表于 2018-12-14 09:37
没运行怎么查杀？运行后重启，tdsskiller检测出两个，重启干掉。

改主页那个运行成功后，杀毒软件可以发现，也能发现，就是删不了，一删就关机！这个两驱动就不一样，运行成功后，杀毒软件发现不了，单独去扫描那个运行成功的运动，杀毒软件都不会报毒！综合分析，这两个类似的驱动病毒各有优势！

pal家族

-freboot
for extended mode for TDSSKiller and KVRT. Reboot is needed。有兴趣的可以试试。。。。。


And，for rootkit removal,
Avp=TDSSKiller=KVRT,
How to manual detect rootkit using avp, just Run a quick scan.
所以楼下说的是对的。